pourquoi eMule se connecte-til à tous ces ports ?

Le
siger
Bonjour,

Avec eMule et Kerio, j'avais créé des règles qui semblaient marcher, en
tous cas bien 2 ans, mais il y a quelques jours j'ai perdu plus de la
moitié de mes règles, et même mes sauvegardes récentes de la config
Kerio, que je fais pourtant dans un autre dossier que celui de Kerio
par défaut. Bizarre, mais bon (si vous avez une idée de ce qui a pu
se passer, ça m'intéresse).

Et je me retrouve confronté au connexions d'eMule qui semble avoir
besoin de tous les ports.

Pour ma culture personnelle : pourquoi eMule,contrairement aux autres
logiciels que je connais, a besoin de tous les ports que le dieu des
ports à inventé ? TCP, UDP, IN, OUT, de 0 à + l'infini :-)

--
siger
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Aéris
Le #23405601
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 30/05/2011 00:34, siger a écrit :
Pour ma culture personnelle : pourquoi eMule,contrairement aux autres
logiciels que je connais, a besoin de tous les ports que le dieu des
ports à inventé ? TCP, UDP, IN, OUT, de 0 à + l'infini :-)



Il n'en a besoin que de 3 en entrées, 1 en tcp/udp (P0), et les 2 autres
en udp uniquement (P0+1 et P0+3).

Et pour la sortie, un bon firewall est un firewall qui fait du
connection tracking. Une connexion n'est autorisée à sortir que si elle
est à l'initiative de la machine ou qu'elle est la réponse à une
connexion précédente déjà autorisée à entrer.

iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Car sinon oui il faudrait ouvrir toute la plage de port de 1.024 à
65.535, chaque connexion initiée à un serveur utilisant un port
aléatoire dans cette plage (protocole TCP).

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJN5SuKAAoJEK8zQvxDY4P9HYIIAL/0FEVcJQSyAVJFGw1TiMfj
X11NnMp/xAhSLftxqbzNuVYGhs+Mj1U4RsKtUInIypciH8HjFwf7IPXP+owbFsUU
vqnPSg1CXN3ruUwJsJ5O7MGLg08GIghTqLEbAQmCPs3h8Oqk1LMhss12U9sG/xH9
TIynbBn61S8+Ip+DoY0CO5NFx+f52wCH0wb14C/eJb0DOy9icvzwWE698hZs5rfN
IGlzLhAOYbXUtQBilktsmYFWhHa/LQlqCXwnv9kjHUVOS3XZhuAB/hJ/e+dFS8fn
J3lWybR4EolrS0HsS8jkQ7ZIsf6DVp/IqHABjjvv7s9G0976ZhNuyGhh4jL83gs =W+kv
-----END PGP SIGNATURE-----
siger
Le #23410021
Aéris a écrit :

Le 30/05/2011 00:34, siger a écrit :
Pour ma culture personnelle : pourquoi eMule,contrairement aux
autres logiciels que je connais, a besoin de tous les ports que
le dieu des ports à inventé ? TCP, UDP, IN, OUT, de 0 à +
l'infini :-)



Il n'en a besoin que de 3 en entrées, 1 en tcp/udp (P0), et les 2
autres en udp uniquement (P0+1 et P0+3).



On peut paramétrer dans eMule un port n°1 en TCP et un n°2 en UDP.
Emule se connecte au n°1 en TCP-IN, et au n°2 en UDP-IN et OUT.

Pour la sortie, il demande quelques ports en UDP, et des tas de ports
en TCP, dans l'ordre, comme s'il les essayait tous un par un.

Difficile de faire des règles, à part tout laisser passer.

--
siger
Aéris
Le #23410281
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 01/06/2011 20:47, siger a écrit :
Pour la sortie, il demande quelques ports en UDP, et des tas de ports
en TCP, dans l'ordre, comme s'il les essayait tous un par un.



C'est normal pour la sortie, étant donné que c'est un protocole P2P, ton
client se connecte à une multitude d'autres clients sur des ports tous
différents et la plupart du temps dans l'ordre croissant pour une même
application (ce qui n'est pas une obligation mais un effet induit des
algos de recherche d'un port disponible).

Il serait de toute façon totalement débile de bloquer tous les ports en
sortie, étant donné que le protocole TCP/UDP impose une initiation de
socket sur un port aléatoire.
En entrée un serveur web sera toujours accédé par le port 80 mais les
clients peuvent ouvrir des sockets vers lui depuis n'importe quel port
≥1024.

C'est pour ça qu'il faut obligatoirement autoriser en sortie toute la
plage de port quand la connexion est à l'initiative de la machine ou
qu'il s'agit de la continuité d'une connexion entrante autorisée
(connection tracking).
Sinon, ta machine ne peut plus se connecter à aucun serveur.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJN5peOAAoJEK8zQvxDY4P9+scIAJIYSv2maDuTEP0Lrwn9wAuU
bT2/KYPIJj9o7fv0oCUAC83Et+fZ6g1QKhoh1AkHtPKXAHa8VUqfS5V4aoxq5tyK
DJduMMn0nTGXbuD5JCgRI0ZVhOP8m4zrTlHvWahIjPHi2inc51Bdf4awWhnIEWjz
P82/M0TJ2ZSQ+o/TuAhTY2UrDUJt8NYoCQrgLIAp2dOx+6Nuq4wD0OnTNp8P10TV
bdnR6icNm3IVJmQAriRtNvM9TtuS2nmv9MDRu/wREPrtcabnh5HVLsT3ZIc7no9S
RSTjGA8LpuP5jF3Te1DNuZhpu8153m/aBsJwpHWCBRtB5X1e3BQTnaegfob+k8I ­ol
-----END PGP SIGNATURE-----
Publicité
Poster une réponse
Anonyme